Tweet
SECURITY GROUP, NACL & VPC PEERING TRONG AWS
🚀 SECURITY GROUP, NACL & VPC PEERING TRONG AWS
Trong AWS, bảo mật mạng là nền tảng quan trọng nhất khi xây dựng hạ tầng.
⭐ 1. Security Group và NACL – Hiểu đúng hai lớp bảo mật trong VPC
Trong một VPC, bảo mật có 2 lớp:
🔥 Security Group (SG) – Firewall cấp độ Instance
Security Group gắn trực tiếp vào các instance (EC2, Load Balancer, RDS…).
Những điểm quan trọng:
👉 Tóm lại: SG là hàng rào bảo vệ trực tiếp từng máy chủ.
🔥 NACL (Network Access Control List) – Firewall cấp độ Subnet
NACL là lớp bảo mật bao quanh subnet.
Đặc điểm:
Ví dụ rất quan trọng trong file:
Nếu rule CCNA Certification Allow và rule sử dụng "Strearing Media server" như thế nào? Deny cùng một IP, thì Allow sẽ thắng vì rule CCNA Certification có số nhỏ hơn → ưu tiên cao hơn.
👉 Tóm lại: NACL là hàng rào bảo mật bao quanh subnet, bảo vệ trước khi lưu lượng vào instance.
⭐ 2. Default NACL – AWS khuyến nghị không chỉnh sửa
Default NACL cho phép toàn bộ inbound/outbound.
AWS khuyên:
👉 Không chỉnh sửa Default NACL. Hãy tạo NACL mới để quản lý bảo mật.
Mặc định NACL mới tạo sẽ chặn tất cả lưu lượng, cho đến khi bạn thêm rule Allow.
⭐ 3. Ephemeral Ports – Vì sao cần khi xử lý NACL?
Khi một client kết nối tới server (ví dụ HTTPS port 443), client dùng:
Ephemeral port hơi khác nhau:
Ví dụ kết nối:
👉 Vì NACL là stateless, bạn phải mở đúng range ephemeral ports ở chiều inbound & outbound nếu không lưu lượng phản hồi sẽ bị chặn.
⭐ 4. Ví dụ NACL xử lý Web Tier – DB Tier
Giả sử:
Cần: Web-NACL:
👉 Đây là một trong những kỹ năng cực kỳ quan trọng khi thi AWS hoặc xử lý lỗi production.
⭐ 5. NACL cho nhiều AZ
Nếu hệ thống có Web Subnet A, Web Subnet B, DB Subnet A, DB Subnet B:
→ phải tạo rule cho từng CIDR subnet.
NACL không hiểu EPG như trong ACI.
NACL chỉ hiểu CIDR, nên mỗi subnet phải khai báo rõ ràng.
⭐ 6. So sánh nhanh Security Group và NACL
Dựa trên toàn bộ nội dung file: 🔹 Security Group:
⭐ 7. VPC Peering – Kết nối riêng giữa hai VPC
VPC Peering giúp hai VPC giao tiếp nội bộ, như thể chúng nằm trong cùng một mạng.
Đặc điểm bắt buộc:
🎯 TÓM LẠI
Trong AWS, bảo mật mạng là nền tảng quan trọng nhất khi xây dựng hạ tầng.
⭐ 1. Security Group và NACL – Hiểu đúng hai lớp bảo mật trong VPC
Trong một VPC, bảo mật có 2 lớp:
🔥 Security Group (SG) – Firewall cấp độ Instance
Security Group gắn trực tiếp vào các instance (EC2, Load Balancer, RDS…).
Những điểm quan trọng:
- Chỉ hỗ trợ Allow (không có Deny).
- Là stateful → nếu bạn mở inbound, AWS tự động cho phép outbound trả ngược.
- Rule của SG không theo thứ tự. Tất cả rule đều được kiểm tra trước khi quyết định cho phép hay không.
- SG chỉ áp dụng khi được gắn vào instance.
👉 Tóm lại: SG là hàng rào bảo vệ trực tiếp từng máy chủ.
🔥 NACL (Network Access Control List) – Firewall cấp độ Subnet
NACL là lớp bảo mật bao quanh subnet.
Đặc điểm:
- Là stateless → lưu lượng đi về phải được cho phép ở cả inbound lẫn outbound.
- Hỗ trợ Allow và Deny.
- Rule có thứ tự từ nhỏ đến lớn → số nhỏ có độ ưu tiên cao hơn.
- Mỗi subnet chỉ có một NACL.
- Mỗi NACL áp dụng cho tất cả EC2 trong subnet đó.
- Rule cuối cùng luôn là dấu * (DENY).
Ví dụ rất quan trọng trong file:
Nếu rule CCNA Certification Allow và rule sử dụng "Strearing Media server" như thế nào? Deny cùng một IP, thì Allow sẽ thắng vì rule CCNA Certification có số nhỏ hơn → ưu tiên cao hơn.
👉 Tóm lại: NACL là hàng rào bảo mật bao quanh subnet, bảo vệ trước khi lưu lượng vào instance.
⭐ 2. Default NACL – AWS khuyến nghị không chỉnh sửa
Default NACL cho phép toàn bộ inbound/outbound.
AWS khuyên:
👉 Không chỉnh sửa Default NACL. Hãy tạo NACL mới để quản lý bảo mật.
Mặc định NACL mới tạo sẽ chặn tất cả lưu lượng, cho đến khi bạn thêm rule Allow.
⭐ 3. Ephemeral Ports – Vì sao cần khi xử lý NACL?
Khi một client kết nối tới server (ví dụ HTTPS port 443), client dùng:
- Port cố định của server (443)
- Một ephemeral port của client (một port tạm thời)
Ephemeral port hơi khác nhau:
- Windows 10: 49152 – 65535
- Linux: 32768 – 60999
Ví dụ kết nối:
- Client → Server: gửi request đến port 443
- Server → Client: trả về ephemeral port của client
👉 Vì NACL là stateless, bạn phải mở đúng range ephemeral ports ở chiều inbound & outbound nếu không lưu lượng phản hồi sẽ bị chặn.
⭐ 4. Ví dụ NACL xử lý Web Tier – DB Tier
Giả sử:
- Web Subnet (Public)
- DB Subnet (Private)
- DB dùng port 3306
Cần: Web-NACL:
- Cho phép outbound tạo kết nối port 3306 đến CIDR của DB Subnet
- Cho phép inbound phản hồi từ DB qua ephemeral port
- Cho phép inbound port 3306 từ Web Subnet
- Cho phép outbound qua ephemeral port để trả ngược về Web
👉 Đây là một trong những kỹ năng cực kỳ quan trọng khi thi AWS hoặc xử lý lỗi production.
⭐ 5. NACL cho nhiều AZ
Nếu hệ thống có Web Subnet A, Web Subnet B, DB Subnet A, DB Subnet B:
→ phải tạo rule cho từng CIDR subnet.
NACL không hiểu EPG như trong ACI.
NACL chỉ hiểu CIDR, nên mỗi subnet phải khai báo rõ ràng.
⭐ 6. So sánh nhanh Security Group và NACL
Dựa trên toàn bộ nội dung file: 🔹 Security Group:
- Cấp độ Instance
- Stateful
- Chỉ Allow
- Kiểm tra tất cả rule trước khi kết luận
- Chỉ áp dụng khi gán vào instance
- Cấp độ Subnet
- Stateless
- Hỗ trợ Allow + Deny
- Rule theo thứ tự số, match đầu tiên thắng
- Tự động áp dụng cho mọi instance trong subnet
⭐ 7. VPC Peering – Kết nối riêng giữa hai VPC
VPC Peering giúp hai VPC giao tiếp nội bộ, như thể chúng nằm trong cùng một mạng.
Đặc điểm bắt buộc:
- Không được trùng CIDR
- Không mang tính chuyển tiếp (non-transitive)
→ A nối B, B nối C, A không tự động nối C - Phải cập nhật route table của từng subnet để EC2 có thể nói chuyện được
- Không hỗ trợ multicast/broadcast
- Lưu lượng chạy trên backbone AWS → bảo mật hoàn toàn
🎯 TÓM LẠI
- SG bảo vệ từng instance – stateful – chỉ allow
- NACL bảo vệ subnet – stateless – allow & deny – theo thứ tự rule
- Ephemeral port phải mở khi dùng NACL
- VPC Peering kết nối 2 VPC – không chuyển tiếp